Netskope
Questa guida descrive come integrare Netskope con Google Security Operations (Google SecOps).
Versione integrazione: 11.0
Casi d'uso
L'integrazione di Netskope con Google SecOps può aiutarti a risolvere i seguenti casi d'uso:
Indagine e blocco degli URL di phishing: dopo aver ricevuto un avviso relativo a un URL di phishing, utilizza le funzionalità di Google SecOps per eseguire query sulla piattaforma di sicurezza cloud Netskope per informazioni sulla reputazione e sulla classificazione dell'URL. Se l'URL viene confermato come dannoso, Netskope può bloccarlo automaticamente nella rete della tua organizzazione.
Analisi e contenimento del malware: utilizza le funzionalità di Google SecOps per inviare un campione di malware a Netskope per l'analisi dinamica. In base ai risultati dell'analisi, Netskope può quindi applicare criteri per mettere in quarantena i dispositivi infetti o bloccare ulteriori comunicazioni con server di comando e controllo dannosi.
Correzione di account compromessi:utilizza le funzionalità di Google SecOps per identificare attività o tentativi di accesso sospetti e applicare azioni, come reimpostazioni della password, richieste di autenticazione a più fattori o sospensione dell'account.
Scansione e applicazione di patch per le vulnerabilità: utilizza le funzionalità di Google SecOps per ricevere avvisi sulle vulnerabilità rilevate nelle applicazioni cloud.
Automazione della risposta agli incidenti:utilizza le funzionalità di Google SecOps per raccogliere informazioni contestuali sull'incidente, come attività utente, traffico di rete e log di accesso ai dati, e automatizza le attività di risposta agli incidenti, come l'isolamento dei sistemi interessati, il blocco del traffico dannoso e la notifica alle parti interessate pertinenti.
Arricchimento della threat intelligence:utilizza le funzionalità di Google SecOps per integrarti con i feed di threat intelligence di Netskope e arricchire gli avvisi di sicurezza con un contesto aggiuntivo.
Prima di iniziare
Prima di configurare l'integrazione di Netskope in Google SecOps, genera la chiave API Netskope.
Per generare la chiave API, completa i seguenti passaggi:
- Nella Console di amministrazione di Netskope, seleziona Impostazioni.
- Vai a Strumenti > API REST v1.
- Copia il valore del token API per utilizzarlo in un secondo momento durante la configurazione del
parametro
Api Key.
Per configurare l'impostazione di rete per l'integrazione, consulta la tabella seguente:
| Funzione | Porta predefinita | Direzione | Protocollo |
|---|---|---|---|
| API | Multivalori | In uscita | apikey |
Integrare Netskope con Google SecOps
L'integrazione di Netskope richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Api Root |
Obbligatorio
La radice dell'API dell'istanza Netskope. |
Api Key |
Obbligatorio
La chiave API per l'autenticazione con l'API Netskope. Per configurare questo parametro, inserisci il valore del token API che hai ottenuto quando hai generato la chiave API. |
Verify SSL |
Optional
Se selezionata, l'integrazione verifica che il certificato SSL per la connessione al server Netskope sia valido. Non selezionato per impostazione predefinita. |
Per istruzioni sulla configurazione di un'integrazione in Google SecOps, consulta Configurare le integrazioni.
Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più sulla configurazione e sul supporto di più istanze, consulta Supporto di più istanze.
Azioni
Per maggiori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua postazione di lavoro ed Eseguire un'azione manuale.
Consenti file
Utilizza l'azione Consenti file per consentire un file messo in quarantena.
Questa azione viene eseguita su tutte le entità Google SecOps.
Input azione
L'azione Consenti file richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
File ID |
Obbligatorio
L'ID del file da consentire. |
Quarantine Profile ID |
Obbligatorio
L'ID del profilo di quarantena associato al file. |
Output dell'azione
L'azione Consenti file fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Consenti file:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Blocca file
Utilizza l'azione Blocca file per bloccare un file in quarantena.
Questa azione viene eseguita su tutte le entità Google SecOps.
Input azione
L'azione Blocca file richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
File ID |
Obbligatorio
L'ID del file da bloccare in Netskope. |
Quarantine Profile ID |
Obbligatorio
L'ID del profilo di quarantena da utilizzare per bloccare il file. |
Output dell'azione
L'azione Blocca file fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Blocca file:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Scarica file
Utilizza l'azione Scarica file per scaricare un file messo in quarantena.
Questa azione viene eseguita sull'entità Google SecOps IP Address.
Input azione
L'azione Scarica file richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
File ID |
Obbligatorio
L'ID del file da scaricare dalla quarantena. |
Quarantine Profile ID |
Obbligatorio
L'ID del profilo di quarantena a cui appartiene il file. |
Output dell'azione
L'azione Scarica file fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Scarica file:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Elenco avvisi
Utilizza l'azione Elenca avvisi per elencare gli avvisi.
Questa azione viene eseguita su tutte le entità Google SecOps.
Input azione
L'azione Elenca avvisi richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Query |
Optional Una query per filtrare gli eventi dell'applicazione cloud nel database degli avvisi. |
Type |
Optional Un tipo di avvisi in base al quale filtrare. I valori possibili sono:
|
Time Period |
Optional Il periodo di tempo in millisecondi precedente a ora in cui cercare gli avvisi. I valori possibili sono |
Start Time |
Optional Un orario di inizio per filtrare gli avvisi con timestamp superiori all'ora Unix specificata. Utilizza questo parametro solo se
non hai impostato il parametro |
End Time |
Optional Un'ora di fine per filtrare gli avvisi con timestamp precedenti all'ora Unix epoch specificata. Utilizza questo parametro solo se
non hai impostato il parametro |
Is Acknowledged |
Optional Se selezionata, l'integrazione filtra gli avvisi confermati. Non selezionato per impostazione predefinita. |
Limit |
Optional Il numero di risultati da restituire. Il valore predefinito è |
Output dell'azione
L'azione Elenca avvisi fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Elenca avvisi:
[
{
"dstip": "192.0.2.1",
"app": "Amazon Web Services",
"profile_id": "ID",
"device": "iPad",
"shared_credential_user": "example@example.com",
"app_session_id": 2961859388,
"dst_location": "Ashburn",
"dst_region": "Virginia",
"policy": "Copy prohibited",
"page_id": 380765822,
"object_type": "File",
"dst_latitude": 39.0481,
"timestamp": 1548603047,
"src_region": "California",
"from_user": "user@example.com",
"src_location": "San Luis Obispo",
"traffic_type": "CloudApp",
"appcategory": "IaaS/PaaS",
"src_latitude": 35.2635,
"count": 2,
"type": "anomaly",
"risk_level_id": 2,
"activity": "Upload",
"userip": "203.0.113.1",
"src_longitude": -120.6509,
"browser": "Safari",
"alert_type": "anomaly",
"event_type": "user_shared_credentials",
"_insertion_epoch_timestamp": 1548601562,
"site": "Amazon Web Services",
"id": 3561,
"category": "IaaS/PaaS",
"orig_ty": "nspolicy",
"dst_country": "US",
"src_zipcode": "93401",
"cci": 94,
"ur_normalized": "user@example.com",
"object": "quarterly_report.pdf",
"organization_unit": "",
"acked": "false",
"dst_longitude": -77.4728,
"alert": "yes",
"user": "user@example.com",
"userkey": "user@example.com",
"srcip": "7198.51.100.1",
"org": "example.com",
"src_country": "US",
"bin_timestamp": 1548633600,
"dst_zipcode": "20149",
"url": "http://aws.amazon.com/",
"sv": "unknown",
"ccl": "excellent",
"alert_name": "user_shared_credentials",
"risk_level": "high",
"_mladc": ["ur"],
"threshold_time": 86400,
"_id": "cadee4a8488b3e139b084134",
"os": "iOS 6"
}
]
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Elenca avvisi:
| Nome del risultato dello script | Valore |
|---|---|
alerts |
ALERT_LIST |
List Clients
Utilizza l'azione Elenca clienti per elencare i clienti.
Questa azione viene eseguita su tutte le entità Google SecOps.
Input azione
L'azione Elenca clienti richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Query |
Optional
Filtra i clienti recuperati dal database. |
Limit |
Optional
Limita il numero di client restituiti dall'azione. Il valore predefinito è |
Output dell'azione
L'azione Elenca clienti fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Elenca clienti:
[
{
"client_install_time": 1532040251,
"users":
[
{
"heartbeat_status_since": 1532040385,
"user_added_time": 1532040167,
"last_event":
{
"status": "Enabled",
"timestamp": 1548578307,
"event": "Tunnel Up",
"actor": "System"
},
"device_classification_status": "Not Configured",
"username": "user@example.com",
"user_source": "Manual",
"userkey": "K00fuSXl8yMIqgdg",
"_id": "ID",
"heartbeat_status": "Active"
}],
"last_event":
{
"status": "Enabled",
"timestamp": 1548578307,
"event": "Tunnel Up",
"actor": "System"
},
"host_info":
{
"device_model": "VMware Virtual Platform",
"os": "Windows",
"hostname": "HOSTNAME",
"device_make": "VMware, Inc.",
"os_version": "10.0"
},
"client_version": "1.1.1.1",
"_id": "ID",
"device_id": "DEVICE_ID"
}
]
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Elenca clienti:
| Nome del risultato dello script | Valore |
|---|---|
clients |
CLIENT_LIST |
Elenco eventi
Utilizza l'azione Elenca eventi per elencare gli eventi.
Questa azione viene eseguita su tutte le entità Google SecOps.
Input azione
L'azione Elenca eventi richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Query |
Optional Una query per filtrare gli eventi dell'applicazione cloud nel database degli eventi. |
Type |
Optional Un tipo di avvisi in base al quale filtrare. I valori possibili sono:
|
Time Period |
Optional Il periodo di tempo in millisecondi precedente a ora per cercare eventi. I valori possibili sono:
|
Start Time |
Optional Un'ora di inizio per filtrare gli eventi con timestamp maggiori dell'ora epoca di Unix specificata. Utilizza questo parametro solo se
non hai impostato il parametro |
End Time |
Optional Un'ora di fine per filtrare gli eventi con timestamp precedenti all'ora epoca di Unix specificata. Utilizza questo parametro solo se
non hai impostato il parametro |
Limit |
Optional Il numero di risultati da restituire. Il valore predefinito è |
Output dell'azione
L'azione Elenca eventi fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Elenca eventi:
{
"dstip": "192.0.2.64",
"browser_session_id": 1066949788113471080,
"srcip": "198.51.100.36",
"app_session_id": 4502249472406092569,
"os_version": "WindowsServer2016",
"dst_region": "Virginia",
"numbytes": 37480,
"req_cnt": 18,
"server_bytes": 8994,
"page_id": 0,
"page_duration": 867,
"page_endtime": 1548577530,
"dst_latitude": 39.0481,
"timestamp": 1548576663,
"src_region": "Oregon",
"src_location": "Boardman",
"ur_normalized": "user@example.com",
"appcategory": "",
"src_latitude": 45.8491,
"count": 1,
"bypass_traffic": "no",
"type": "page",
"userip": "203.0.113.253",
"src_longitude": -119.7143,
"page": "WebBackground",
"browser": "",
"domain": "WebBackground",
"dst_location": "Ashburn",
"_insertion_epoch_timestamp": 1548577621,
"site": "WebBackground",
"access_method": "Client",
"browser_version": "",
"category": "",
"client_bytes": 28486,
"user_generated": "no",
"hostname": "IP-C0A84AC",
"dst_country": "US",
"resp_cnt": 18,
"src_zipcode": "97818",
"traffic_type": "Web",
"http_transaction_count": 18,
"organization_unit": "example.com/Users",
"page_starttime": 1548576663,
"dst_longitude": -77.4728,
"user": "user@example.com",
"userkey": "user@example.com",
"device": "WindowsDevice",
"src_country": "US",
"dst_zipcode": "20149",
"url": "WebBackground",
"sv": "",
"ccl": "unknown",
"useragent": "RestSharp/192.0.2.0",
"_id": "ID",
"os": "WindowsServer2016"
}
]
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Elenca eventi:
| Nome del risultato dello script | Valore |
|---|---|
events |
EVENT_LIST |
Elenco file messi in quarantena
Utilizza l'azione Elenca file in quarantena per elencare i file in quarantena.
Questa azione viene eseguita su tutte le entità Google SecOps.
Input azione
L'azione Elenca file in quarantena richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Start Time |
Optional
Un'ora di inizio per limitare gli eventi con timestamp maggiori del valore di questo parametro nel formato Unix. |
End Time |
Optional
Un orario di fine per limitare gli eventi con i timestamp inferiori al valore di questo parametro nel formato Unix. |
Output dell'azione
L'azione Elenca file in quarantena fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Elenca file in quarantena:
| Nome del risultato dello script | Valore |
|---|---|
files |
FILE_LIST |
Dindin
Utilizza l'azione Ping per testare la connettività a Netskope.
Questa azione viene eseguita su tutte le entità Google SecOps.
Input azione
Nessuno.
Output dell'azione
L'azione Ping fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ping:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.